시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 / 팀장나병윤!dewymoon@pgpnet.com

주요내용 시스템모니터링! 패킷크기와장비의 CPU 및 Memory 사용량! SNMP를장비의상태관찰 비정상적인트래픽모니터링! Packet 분석기의다양한트래픽모니터링도구를이용한비정상적인트래픽관찰! Traffic Gauge, Host 트래픽, Matrix 트래픽등등! 비정상적인트래픽을유발시키는패킷캡처! 패킷패턴분석! 보안침투및바이러스발생지추적 네트워크의미래를제시하는세미나 NetFocus 2003 2

시스템모니터링 패킷크기별최대전송속도! 최대전송량및최소패킷크기! 100Mbps 네트워크 : 12,500,000 bytes/s! 최소패킷크기! 최소데이터프레임 : 64 bytes " DLC header + IP header + TCP/UDP header + CRC! Frame gap : 12 bytes, Preamble : 8 bytes! 최소패킷크기 : 64 + 12 + 8 = 84 bytes! 가능한전송속도 : 100Mbps -> 148,800 packets/sec! 최대패킷크기! 최대데이터프레임 : 1518 bytes! 최대패킷크기 : 1518 + 12 + 8 = 1538 bytes! 가능한전송속도 : 8,127 packets/sec! 대역폭효율성 " 64 bytes : 64 / 84 = 0.76 따라서 76% " 1518 bytes : 1518/1538 = 0.986 따라서약 98% 네트워크의미래를제시하는세미나 NetFocus 2003 3

시스템모니터링 보안침투및바이러스에의한패킷특징! 일정한크기의패킷이지속적으로발생 보안침투시도 패킷크기와장비에대한영향! 작은패킷 (64~128) 이많은경우 바이러스! CPU 과부하유발 : Layer 2 장비 < Layer 3 장비 < Layer 4 장비! 큰패킷 (1024 ~) 이많은경우! Memory 처리용량초과및대역폭 Full 네트워크의미래를제시하는세미나 NetFocus 2003 4

시스템모니터링 SNMP를이용한장비의상태관찰! CPU 및 Memory 사용량수시관찰! 장비의포트트래픽상태관찰 ( 패킷수와바이트수비교관찰 ) 네트워크의미래를제시하는세미나 NetFocus 2003 5

시스템모니터링 파이어월트래픽 # 트래픽차단상태관찰! 포트별트래픽량및패킷개수관찰 " 어플리케이션포트차단상태관찰! 관측되는어플리케이션프로토콜현황 방화벽입력구간 방화벽출력구간 네트워크의미래를제시하는세미나 NetFocus 2003 6

비정상적인트래픽모니터링 다양한알람기능활용! 알람임계값 (threshold) 을자신의네트워크상황에맞게수정! 알람의중요도에따라서다양한소리설정 네트워크의미래를제시하는세미나 NetFocus 2003 7

비정상적인트래픽모니터링 패킷분석시스템 Oracle DB 로그온실패알람 네트워크의미래를제시하는세미나 NetFocus 2003 8

비정상적인트래픽모니터링 전체트래픽및특정시스템의트래픽관찰! 보안침투시도및바이러스활동확인! 크기가 127Bytes 이하인패킷이많이발생하는경우! 한 MAC 주소가알수없는많은 MAC 주소로패킷을전달만하는경우 ( 순차적진행 )! 한 IP 주소가알수없는또는내부모든 IP 대역으로동일한크기의패킷을전달하는경우 보안침투시도또는바이러스활동시간 총 10827 개의패킷가운데 64 bytes 패킷이 7809개발생?? 네트워크의미래를제시하는세미나 NetFocus 2003 9

비정상적인트래픽모니터링 Out Packets or In Packets 으로정렬 (sorting) 송신되는패킷만있고수신되는패킷은없다? 발생지확인 수신되는패킷만있고송신되는패킷은없다? 네트워크의미래를제시하는세미나 NetFocus 2003 10

비정상적인트래픽모니터링 두시스템간의트래픽관찰 Source MAC 주소및 Destination MAC 주소는 1 개 Source IP 주소가 N 개이고 Destination IP 주소는 1 개 Source MAC, IP 주소는 1 개, Destination MAC, IP 주소는 N 개인경우 네트워크의미래를제시하는세미나 NetFocus 2003 11

비정상적인트래픽모니터링 Source MAC 주소및 Destination MAC 주소는 1 개 Source MAC, IP 주소는 1 개, Destination MAC, IP 주소는 N 개인경우 Source IP 주소가 N 개이고 Destination IP 주소는 1 개 네트워크의미래를제시하는세미나 NetFocus 2003 12

비정상적인트래픽모니터링 두시스템간의트래픽양이거의일치하는경우 " 실시간관찰 : Host Table, Matrix 의 MAC 또는 IP 계층테이블 " 패킷캡처후분석 In, Out Packet (Tx ( Tx, Rx Frames) 이비슷하다?? 네트워크의미래를제시하는세미나 NetFocus 2003 13

패킷캡처 In 또는 Out packets 으로정렬하여이상트래픽이발생하는경우, Source 또는 Destination 이되는스테이션을선택하여실시간으로패킷캡처 네트워크의미래를제시하는세미나 NetFocus 2003 14

패킷분석시스템활용 Tx 는없는데 Rx 만있다? 순간적으로 5000 번의접속이시도되었다? Tx 는있는데 Rx 만있다? Source 의포트가순차적으로증가한다? 네트워크의미래를제시하는세미나 NetFocus 2003 15

Nimda Virus Pattern 네트워크의미래를제시하는세미나 NetFocus 2003 16

Code Red 네트워크의미래를제시하는세미나 NetFocus 2003 17

Filters Nimda Filter SQL Slammer Filter 네트워크의미래를제시하는세미나 NetFocus 2003 18

Ack Attack! 당약 2000개이상의 60 bytes 패킷! 동일한 Seq. 및 ACK 번호! 비슷한개수의 Tx, Rx 프레임 네트워크네트워크침투침투방법방법및패턴은패턴은다양해도다양해도결국결국불필요한필요한트래픽을트래픽을유발유발네트워크의미래를제시하는세미나 NetFocus 2003 19

특정포트로의 TCP SYN Scan Tx >> Rx TCP SYN Attack 50,000~60,000 frames/ sec (Only Tx) IP Scan - Tx >> Rx 네트워크의미래를제시하는세미나 NetFocus 2003 20

Port Scan Tx = Rx 특징 : - Destination Port 가순차적으로증가 - 접속이불가능한포트에대해서 SYN 와 RST 패킷이반복적으로발생 -Source 시스템의 SEQ 번호증가율이균일함 - 접속가능한포트 (7, 9 번포트 ) (SYN SYN ACK ACK) 특징 : - 두스테이션의 Connection 각각에대해서송수신된패킷이전체적으로너무적고, 개수도비슷함 네트워크의미래를제시하는세미나 NetFocus 2003 21

IP Protocol number = 255 (Only Tx)! irc bot ip potocol 255 - DDOS Attack? 공식적으로사용이허가되지않은프로토콜번호 네트워크의미래를제시하는세미나 NetFocus 2003 22

특정스테이션의 IP 및어플리케이션포트 SCAN (Multi-IP Only Tx) Source MAC: 1 Destination MAC: 1 Source IP : N Destination IP: 1 네트워크의미래를제시하는세미나 NetFocus 2003 23

특정스테이션의 IP 및어플리케이션포트 SCAN (Multi-IP Only Tx) 네트워크의미래를제시하는세미나 NetFocus 2003 24

특정스테이션의 IP 및어플리케이션포트 SCAN (Multi-IP Only Tx) 1000 번이하의어플리케이션포트초당 16368 개의 78 Bytes 패킷들 모든패킷들의초기 Seq. 번호가동일 80 포트 SYN 패킷처럼위장 - SYN 패킷은 64 bytes header만포함정상적인패킷이아니기때문에헤더에오류가발생 네트워크의미래를제시하는세미나 NetFocus 2003 25